Segundo empresa, incidente ocorreu em dezembro de 2025 com cerca de 2% da base de clientes e não atingiu senhas e registros financeiros